Schlußbeitrag: Zusammenfassende Betrachtungen

U. Meditsch

Ausgangspunkt für diese Veranstaltung der Nutzergruppe Hochschulverwaltungen des DFN-Vereins in Kaiserslautern war die erste Zusammenkunft in Merseburg vor über einem Jahr. Damals war die Frage gestellt worden, OB sich die Verwaltungen überhaupt an das öffentliche Netz anschließen sollen, oder nicht. Die Frage nach Sicherheit und Datenschutz spielte eine große Rolle. Zu diesem Thema - so wurde beschlossen - sollte eine eigene Tagung stattfinden.

In der Tagung einer Vorbereitungsgruppe vor gut einem halben Jahr haben wir neben der Konkretisierung der Themenstellung auch die Zielgruppe dieser Tagung näher einzugrenzen versucht: Auch Nicht-Verwaltungs-DV-Leute, darunter Kanzlerinnen und Kanzler, sollten von der sicheren Nutzbarkeit des öffentlichen Netzes überzeugt werden. Dieses Ziel ist im Hinblick auf die Zusammensetzung der Teilnehmerschaft nur teilweise erreicht worden: Nach ersten groben Schätzungen kamen 20% der rund 180 Teilnehmerinnen und Teilnehmer aus dem Nicht-DV-Bereich der Verwaltungen. Sechs Ministerien waren vertreten. Rund ein Viertel kam aus den Rechenzentren der Hochschulen - ein Bereich, der in Kaiserslautern vielleicht zum ersten Mal in dieser Dichte über Verwaltungsprobleme diskutiert hat. Die Rechenzentren sind unsere Partner in der hier diskutierten Frage, insofern war ihre Teilnahme ebenfalls wichtig. Im UEbrigen gehen wir davon aus, daß die Hochschulen diejenigen Personen delegiert haben, die besonders intensiv mit Fragen der Vernetzung der Hochschulverwaltungen befaßt sind oder sein werden. Für mich war etwas überraschend, daß die Frage des OB überhaupt keine Rolle mehr spielte. Die Frage ist vielmehr gewesen, WIE ist ein sicherer Anschluß der Hochschulverwaltungen an das öffentliche Netz möglich. Dabei kann ich nicht verhehlen, daß mir ein wenig die grundsaetzliche Kritik gefehlt hat. Niemand ist aufgestanden mit der Aussage: "Einen solchen Anschluß brauchen wir nicht!" Niemand hat sich dahingehend geaeußert: "Da muß zunaechst einmal die Haftungsfrage geklaert werden, wenn es Sicherheitsprobleme gibt!" Wenn solche Kritik auch nicht in Ansätzen sichtbar wird, bin ich immer etwas mißtrauisch. Zumindest ist zu vermuten, daß möglicherweise doch existierende Probleme nicht ausdiskutiert worden sind. Wir werden im weiteren Verlauf der (Nicht-)Nutzung des öffentlichen Netzes durch die Hochschulverwaltungen erfahren, ob mein Mißtrauen überzogen ist. Die erwähnte Vorbereitungsgruppe hatte ein weiteres grundsätzliches Diskussionsergebnis erzielt: Bei der heutigen Technologie ist die Neuanlage von geschlossenen Verwaltungsnetzen zusätzlich zu dem öffentlichen Hochschulnetz nicht mehr vertretbar und sinnvoll. Vor nicht allzu langer Zeit war eine solche Vorgehensweise noch gang und gäbe, und nicht wenige anwesende Hochschulvertreter hätten sicherlich über ihr jeweiliges separates Netz berichten können. Noch bis 1991 hat sogar die DFG diese Vorgehensweise empfohlen. Mit dem Anschluß dieser separaten Netze an das allgemeine Hochschulnetz werden die Verwaltungsnetze nun zu Subnetzen, die vielleicht - z.B. für die Personalverwaltung - weitere Subnetze umfassen. So etwas nennt man heute WOHLSTRUKTURIERTES NETZ. Entscheidend ist, daß diese Netze nicht geschlossen, nicht abgeschottet sind. Durch die Öffnung ergibt sich die Problemstellung, die auf der Tagung sehr inhaltsreich diskutiert worden ist: Der kontrollierbare Verkehr solcher Subnetze mit der weiten Welt des Internet.

Als zentrales Ergebnis dieser Diskussion möchte ich festhalten:


SICHERHEITSPROBLEME, DIE DURCH DIE OEFFNUNG EINES VERWALTUNGSNETZES ENTSTEHEN, SIND BEHERRSCHBAR!


Weitere wichtige Diskussionsergebnisse waren:

  1. Wir sind uns einig, daß es eine hundertprozentige Sicherheit nirgends geben kann.
  2. Es gibt einen großen Teil von Kommunikation, die nicht sicherheitsrelevant ist und gleichwohl mit Hilfe elektronischer Medien wesentlich vereinfacht und beschleunigt werden kann. Die "Netzwerker" sehen vielleicht an manchen Stellen Bedrohungen, die in der Realität so nicht praktisch werden. Insofern ist der Eindruck "überall lauern die Schufte", der vielleicht aus manchem Referat entstanden sein mag, zu relativieren.
  3. Für die UEbertragung zu schützender Daten können dem Schutzzweck entsprechende elektronische Schutzmaßnahmen getroffen werden.
  4. Die Handhabung von Sicherheitsmaßnahmen muß einfach sein (Checkbox JA/NEIN, eine Differenzierung erfolgt eventuell im JA- Zweig). Die Nutzerinnen und Nutzer dürfen nicht mit komplizierten Verfahren belastet werden.

Die erforderlichen Maßnahmen zur Beherrschung von Sicherheitsproblemen in Netzen haben wir eingeteilt in organisatorische und technische Maßnahmen.

Die organisatorischen Maßnahmen betreffen zunächst das Erfordernis einer detaillierten Problemaufnahme oder ANALYSE, die anschließende Aufstellung von REGELN und schließlich die BEWUßTMACHUNG (u.a. durch intensive Schulung) der neuen Problemstellungen in den jeweiligen Verwaltungen. Ich füge hinzu, daß in dieses Feld auch die dringend notwendige REORGANISATION DER GESCHAEFTSPROZESSE (als business proceß reengineering in aller Munde) in den Verwaltungen mit Blick auf die neuen Möglichkeiten vernetzter Kommunikation erfolgen muss.

Wir haben als Verwaltungsvertreterinnen und -vertreter großes Interesse daran geäußert, daß für die organisatorisch erforderlichen Sicherheitsmaßnahmen eine Art ORGANISATORISCHES REZEPTBUCH zusammengestellt wird. Ansätze dazu sind in der Tagung aufgezeigt worden. Sie sollten von der Nutzergruppe Hochschulverwaltung des DFN-Vereins weiterverfolgt werden. Auch an die HIS-GmbH werden in diesem Bereich Erwartungen gestellt.

Die erforderlichen technischen Maßnahmen kann man grob wie folgt gruppieren:

Wir haben an einigen vorgeführten Beispielen gesehen, daß es Verfahren gibt, die praktisch einsetzbar sind. Auch hier ist der Wunsch laut geworden, praktisch handhabbare Lösungen in einer Art WERKZEUGKISTE zur Verfügung zu haben. Es geht jetzt darum diese Verfahren auch in der täglichen Hochschul- Verwaltungs-Praxis anzuwenden.

Zur praktischen Realisierung gehören zwei Schritte:

  1. Es sollten sich Hochschulen bereitfinden, Projekte zur Einführung dieser (organisatorischen und technischen) Lösungen durchzuführen. Der DFN-Verein (Prof. Maaß), die HIS GmbH (Dr. Ederleh) haben ihre Bereitschaft erklärt, sich an solchen Projekten zu beteiligen.
  2. In den Hochschulen muß Personal für die Betreuung des Netzes zur Verfügung gestellt werden. Leider kranken viele Verwaltungs- DV-Abteilungen und -Sachgebiete an einer Unterausstattung mit Personal, die noch aus früheren Zeiten herrührt. Aus den Rationalisierungserfolgen durch den Einsatz neur Medien in den Verwaltungen muß, wenn die neue Technik denn funktionieren soll, Personal in die DV-Bereiche verlagert werden.
Insgesamt kann die Tagung in Kaiserslautern als Erfolg gewertet werden. Auch die Hochschulverwaltungen sollten die sich bietenden Möglichkeiten für offene Kommunikation in offenen Netzen nutzen. Nachdem nun auch für den sicherheitsrelevanten Teil der Verwaltungskommunikation praktische Lösungen zum Schutz vorliegen, gibt es keinen Grund, noch länger zu warten.